工控防火墙

立思辰工控防火墙

一、产品简介

立思辰公司的工控防火墙是面向工业控制网络研发的涵盖传统防火墙、工控协议数据包深度解析、工控协议指令控制等功能在内的工控网络安全防护产品。

工业防火墙支持灵活的安全区域隔离和丰富的安全策略控制功能,综合运用了多核并行控制技术、非共享式 TCP 协议栈、数据路径智能优化技术等多项技术,在实现精确访问控制和细致指令内容过滤的同时达到较高的性能水平,很好的适应了未来工控网络高带宽、大流量的发展方向。

二、产品功能

  • 强大的过滤功能

基于状态检测包过滤技术,对IP地址、服务、端口等参数进行判断,是否允许数据包通过;在第三层(网络层)和第四层(传输层)进行数据过滤。

  • 丰富的端口信息

工业防火墙预置了常用网络服务的端口信息,也支持自定义任意的TCP/UDP/ICMP/IP服务和端口;还可将不同的服务和端口加入组,统一应用安全策略。 

  • 网关式防病毒

工业防火墙可将一段内容中的病毒代码过滤掉,将正常部分继续传输,有效防止信息的丢失。工控防火墙的病毒过滤只针对标准协议,与应用无关。

  • 入侵检测与防御

系统内置海量SCADA行为特征库,涵盖了Modbus、OPC、DNP3、S7Comm、IEC60870-5-104、IEC61850-MMS等多种协议,可检测和防御针对工控系统的网络攻击,保证工控系统的安全。 

  • 工控协议检测与解析

支持多种主流工控协议,可识别工控协议并解析协议里传输的控制指令,并能对各类数据包进行快速有针对性的捕获和深度解析,同时为企业内部的私有协议提供定制化功能,全面满足工控系统兼容性要求。

  • VPN功能

支持多种VPN模式,可实现远程安全接入和不同区域之间的加密通信。

  • 流控和QoS 

在多个层面使用多种方式保障关键业务的带宽,限制低安全级别的带宽使用,如:限制某段IP共享带宽、限制每个IP最大带宽、通过设置Diffserv实现与其他QoS设备配合实现流量控制等。

  • 强大的报表功能

可展示传统协议和工控协议的内容,并且将其组织在一起构成严谨、透明的报表体系。

  • 安全区域管理

支持基于安全区域的网络隔离和安全策略配置,支持包含物理接口、子接口、VLAN接口在内的灵活安全区域管理功能,每条安全策略组支持若干个独立规则。

  • 安全策略控制

支持灵活的IP访问控制列表,可根据数据包的特点方便设定各种规则,在支持基于五元组访问控制列表的安全策略基础上,还支持基于时间段、IP地址和MAC地址绑定等安全策略。

  • 基于流的状态检测

智能检测TCP状态信息,直接拒绝非完整的TCP握手连接。

通过检测应用层报文信息,创建和删除对动态协商端口的数据包的安全策略规则,以允许相关报文通过。

  • NET地址转换

支持对网络内部服务器的端口级转换,允许用户按照自己的需要配置内部服务器的端口、协议、提供给外部的端口、协议,提供“一对多”的DNAT地址转换功能,极大的提升了地址转换服务的灵活性和适应性。

  • 工控网络白名单

自动学习生成工控网络白名单,形成白名单规则并进行应用,通过白名单规则匹配判断工控协议数据包是否异常,生成告警或者阻断通信,对工控协议流量实现指令级控制。

  • 多种工作模式

支持路由模式、透明模式、旁路模式等多种工作模式,丰富组网应用。

  • 高可靠性(HA、BYPASS)

提供完备的HA双机热备技术,一台防火墙在发生故障时,保证业务平滑切换。

支持bypass功能,当设备出现故障时,网络流量可直接bypass通过,避免用户业务中断。

三、产品优势

  • 防御全面

综合运用了多核并行控制技术、非共享式 TCP 协议栈、数据路径智能优化技术等多种安全技术,可检测并轻松阻断多种攻击,立体防御。

  • 配置灵活

多种工作模式灵活部署安装,适用各种网络。

根据数据包的特点方便设定各种规则,在支持基于五元组访问控制列表的安全策略基础上,还支持基于时间段、IP地址和MAC地址绑定等安全策略。

  • 性能优越

采用安全策略规则高速匹配算法,性能优越,延时小,速度快。

  • 精准识别

支持黑、白名单配置,丰富的安全策略,启发式扫描,精准识别。

  • 可视化展示

多层次数据分析,多维度态势展示,控制界面简洁友好。

  • 细粒度的访问控制

海量特征值,16个类别,自定义特征值等,实现精准的工控协议指令和寄存器级的访问控制。

  • 攻击行为检测

通过集成工控漏洞库和工控入侵检测特征库,智能识别利用协议漏洞发起的攻击并阻断。

  • 专业可靠

专业实时操作系统,多种部署模式;无采用工业标准硬件,无风扇全封闭设计,冗余电源,支持多组Bypass。

  • 支持多种工控协议

支持Modbus、OPC、DNP3、S7Comm、IEC60870-5-104、IEC61850-MMS等多种工控协议。

四、典型部署

  • 路由(NAT)模式

工控防火墙的路由(NAT)模式为常用部署模式,用于连接不同IP地址段的网络环境。

 

工控防火墙-路由模式部署 

  • 透明模式

如果工业防火墙内外网使用相同网段的IP地址,便无需工业防火墙担负路由的工作;此时可将工业防火墙设为透明模式,工作在第二层,在网络拓扑结构上相当于一个交换机或网桥。

 

工控防火墙-透明模式部署

  • 旁路模式

采用传统的旁路方式部署,可监听网络交换机镜像端口的流量。工作在监听模式下的工控防火墙可对数据流进行分析和生成日志,当其引擎发现攻击后,记录日志,发送报警邮件给管理员;也可对工控协议使用状况进行监听,记录日志,出现危险操作时予以报警。工控防火墙可以监控任意节点,只需设置镜像接口即可。

 

工控防火墙-旁路模式部署